【第３回「セキュリティポリシー実現のための体制とその整備」】（大塚商会）

1.情報セキュリティへの関心と実状

近年、日本企業においては、ウイルス監視、メール監視、ファイアウォール設置、セキュリティホールのチェック、といったセキュリティ対策の導入・実施が活発化している。特に、今年に入って中央省庁のホームページが改ざんされた事件をきっかけに、セキュリティ対策への関心は急速に高まった。しかし同時に、その適切な運用に関して問題点・課題が浮き彫りになってきている。
例えば、ファイアウォール設置後のメンテナンスを適切に行わなかったために、結果的にセキュリティホールを放置して攻撃を受けたり、ウイルスワクチン導入後のパターンファイル更新を怠ったために新種のウイルスに感染してしまう、などの被害事例は多い。しかし、メンテナンスを行っていたとしても、不正侵入・攻撃の手法や攻撃対象は日々変化しているため、その変化に対応しきれない可能性や、実際に被害を受けた際、対応の遅れから被害を拡大してしまう可能性も見過ごすことはできない。このような問題に対処するためには、セキュリティポリシーに基づいたシステム運用を行うと同時に、知的財産
および個人情報の保護を含めて、技術ではカバーしきれない範囲の手順書や行動規準、規程の整備を重視すること、そしてそのための強固な社内体制づくりを行うことが急務である。

2.セキュリティポリシーと社内体制

社内体制の整備は、セキュリティポリシーの実現可能性を高める上で重要な作業である。ここで言う「社内体制」とは、セキュリティポリシーを実現するために必要な運用・管理機能を担う組織を指しており、運用担当者はセキュリティポリシーの運用開始時に任命される。セキュリティポリシーは「セキュリティ対策の方針」である。その構築過程には、セキュリティポリシー運用に係る組織設計も含まれており、セキュリティポリシー完成時には、必要な組織体制の枠組みが明確になっている必要がある。

(株式会社大塚商会 ITコンサルタントグループ)
α-Secure Homepage
http://tech.otsuka-shokai.co.jp/a_secure/
sec.info@otsuka-shokai.co.jp

（詳しくはScan本誌をご覧下さい。）